关于托管节点池安全漏洞修复和自动升级的变更公告

为了让您更细粒度地管理节点生命周期,ACK 将对托管节点池的自动升级、节点自愈及安全漏洞自动修复功能进行部分调整。部分自动化功能的默认行为由开启调整为关闭,并引入更灵活的配置参数以替代旧有参数。

变更一:kubelet 和容器运行时自动升级配置调整

变更内容

  • 默认值变更:自20250831日起,在新建节点池过程中,开启运维托管(即设置management.enabletrue)时, 其 kubelet 和容器运行时的自动升级配置(management.auto_upgrade)默认值由true变更为false

  • 配置入口下线:自20260131日起,ACK 将关闭托管节点池 kubelet 和容器运行时的自动升级配置入口。以下参数将从相关 OpenAPI( CreateClusterNodePoolModifyClusterNodePoolDescribeClusterNodePoolDetailDescribeClusterNodePools )中正式下线。

    • management.auto_upgrade

    • management.auto_upgrade_policy

替代方案

您可通过配置集群自动升级功能来完成节点池的自动升级。关于集群自动升级,请参见自动升级集群

变更二:托管功能开关、安全漏洞自动修复、节点自愈相关参数变更

变更内容

  • 参数逻辑变更:自20250805日起,托管节点池的托管总开关management.enable变更为即将下线(deprecated)状态,并于 20260131日完成下线。

    您可以通过以下两个独立的参数来管理:

    • management.auto_repair:开启节点自愈开关。

    • management.auto_vul_fix:开启安全漏洞自动修复开关。

  • 默认值变更:自 2025 年 08 月 31 日起,托管节点池相关 OpenAPI (CreateClusterNodePoolModifyClusterNodePoolDescribeClusterNodePoolDetailDescribeClusterNodePools)中安全漏洞修复参数management.auto_vul_fix和自愈开关参数management.auto_repair的默认值变更为false

    参数

    变更前默认值

    变更后默认值

    management.auto_vul_fix

    • 设置management.enabletrue时,默认值为true

    • 设置management.enablefalse时,默认值为false

    false

    management.auto_repair

    • 设置management.enabletrue时,默认值为true

    • 设置management.enablefalse时,默认值为false

    false

变更三:安全漏洞自动修复策略相关参数调整

变更内容

  • 参数逻辑变更:自20250805日起,托管节点池的安全漏洞自动修复参数management.auto_vul_fix_policy.restart_node变更为即将下线(deprecated)状态,并于20260131日完成下线。

    托管节点池默认将不再自动修复Kernel CVE。如需自动修复Kernel CVE,请使用management.auto_vul_fix_policy.exclude_packages参数。

  • 新参数上线:自202050805日起,托管节点池上线新参数management.auto_vul_fix_policy.exclude_packages,用于指定自动修复安全漏洞时需要排除的软件包列表,默认值为kernel

    由于Kernel CVE的修复涉及内核版本更新,兼容性风险较高,默认排除。如需自动修复Kernel CVE,可以在management.auto_vul_fix_policy.exclude_packages取值中移除kernel